鑒釋觀(guān)點(diǎn) | 提升源代碼安全管控，從源頭保護敏感數據

如何有效地保護敏感數據，成為了當下產(chǎn)業(yè)發(fā)展的重要命題。

在數據時(shí)代，數據安全無(wú)疑是最受人們關(guān)注的。互聯(lián)網(wǎng)興起以來(lái)，數據安全就一直是熱點(diǎn)話(huà)題，頻頻出現在各大新聞頭條。從國家機構、金融行業(yè)，到互聯(lián)網(wǎng)行業(yè)，數據安全涉及廣泛的領(lǐng)域。企業(yè)一旦遭遇數據泄漏，或許會(huì )帶來(lái)營(yíng)收下降、聲譽(yù)受損、高額經(jīng)濟處罰、訴訟等后果，對任何企業(yè)而言都可能是致命打擊。

目前，市面上的數據防泄漏的相關(guān)產(chǎn)品（DLP）從傳統的管控型、行為監察型，逐步向內容感知型發(fā)展。盡管如此，這些產(chǎn)品仍然以被動(dòng)防護為主，主動(dòng)防護能力不足，特別是針對隱藏數據的可逃避性追蹤。那么，究竟是否有一種行之有效的方法，可以彌補這一弊端呢？

敏感數據是指未經(jīng)授權訪(fǎng)問(wèn)的信息，一旦泄漏可能會(huì )給社會(huì )或個(gè)人造成嚴重后果的數據。比如：個(gè)人隱私數據，如姓名、身份證號碼、住址、電話(huà)、銀行賬號、郵箱、密碼、醫療信息、教育背景等; 也包括企業(yè)或社會(huì )機構不宜公布的數據，如企業(yè)的經(jīng)營(yíng)情況、網(wǎng)絡(luò )結構、 IP 地址列表等。應該通過(guò)在數據安全性和信息安全性方面實(shí)施足夠的措施限制對敏感數據的訪(fǎng)問(wèn)，因而防止敏感信息在未經(jīng)授權情況下被披露。

黑客竊取敏感信息，通常是利益所驅。據中消協(xié)組織開(kāi)展的“App 個(gè)人信息泄露情況”問(wèn)卷調查顯示，超八成受訪(fǎng)者曾遭遇個(gè)人信息泄露問(wèn)題。最令人擔憂(yōu)的問(wèn)題是個(gè)人信息被用來(lái)從事欺詐活動(dòng)，占 70.5％；其次是被出售或交換給第三方，約占 52.4％。黑客可以將敏感數據出售給他人，購買(mǎi)者可以利用他人的信息或數據達到非法牟利或犯罪的目的。例如，使用受害者的信用卡或以他們的名義借貸；或者黑客用竊取來(lái)的數據用于針對網(wǎng)絡(luò )釣魚(yú)、攻擊和勒索；某些黑客也可以針對企業(yè)，盜取其商業(yè)機密等。

世界各國政府都在為此陸續出臺相關(guān)法律政策。在中國，全國人大常委會(huì )法工委共同起草了《數據安全法》草案，已經(jīng)提請十三屆全國人大常委會(huì )第二十次會(huì )議審議。而在歐洲，GDPR 將歐盟數據保護法的范圍擴展至所有處理歐盟居民數據的外國公司，要求所有公司：提供數據泄漏的通知、任命一名數據保護官、需獲取用戶(hù)同意方能進(jìn)行數據處理、匿名化數據以保護隱私。Cyber??security Ventures 預測，從 2017 年到 2021 年的五年內，全球在網(wǎng)絡(luò )安全產(chǎn)品和服務(wù)上的支出累計將超過(guò) 1 萬(wàn)億美元（https://www.ibm.com/security/data-breach）。如此龐大的數字，可見(jiàn)無(wú)論是金融、運營(yíng)商、生態(tài)系統，還是運營(yíng)類(lèi) APP，各個(gè)行業(yè)平臺對數據安全的重視和投入都成增長(cháng)趨勢。如何有效地保護敏感數據顯然變成了當務(wù)之急。

有了國家層面的立法保障，我們也看到近年來(lái)，數據防泄漏的相關(guān)產(chǎn)品（DLP）從傳統的管控型、行為監察型，逐步發(fā)展到內容感知型。但目前市面上的 DLP 產(chǎn)品仍存在不足之處。主要體現在這些 DLP 產(chǎn)品還停留在被動(dòng)式防護的邏輯上，主動(dòng)防護能力不足，特別是針對隱藏數據的可逃避性追蹤。市面上各類(lèi)應用程序本身存在的漏洞正在被第三方濫用。國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心發(fā)布的《2019 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢綜述》（圖1）報告指出，按安全漏洞所影響對象分類(lèi)，有近 80% 的漏洞對象是發(fā)生在應用程序與 web 應用程序。

因此，對于敏感數據泄漏的安全防護應該從源頭抓起，提升軟件源代碼的安全管控能力，特別是對軟件代碼中敏感數據去向的管控，以及是否存在安全隱患、被第三方惡意竊取、工程師的無(wú)意識泄漏等問(wèn)題。通過(guò)對軟件代碼進(jìn)行深度的靜態(tài)代碼分析（SAST）能有效解決以上的問(wèn)題，原因在于：

SAST 在軟件開(kāi)發(fā)與集成的早期階段就能主動(dòng)找出潛在的安全隱患。

由于 DLP 不能識別訪(fǎng)問(wèn)私有數據的威脅，及對網(wǎng)站的 SQL 注入。使用代碼掃描技術(shù)時(shí)，可以更容易地識別出此缺陷。

公司內部的 IT 安全專(zhuān)業(yè)人員是 DLP 等解決方案的專(zhuān)家，但無(wú)法識別可能導致數據泄露的軟件代碼錯誤。

要在源頭上實(shí)現敏感數據泄漏安全主動(dòng)防護，可通過(guò)程序開(kāi)發(fā)或運營(yíng)方主動(dòng)標記敏感數據字段，并對程序執行需要調用的系統 API 接口進(jìn)行檢查，包括系統打印、文件存儲、IPC pipe、IPC socket 等，確保敏感數據不被主動(dòng)或者被動(dòng)地泄漏給第三方，從而幫助企業(yè)經(jīng)營(yíng)管理的數據合規、有效降低數據泄漏風(fēng)險。鑒釋的SAST工具，能夠主動(dòng)地發(fā)現可能導致數據泄漏或數據泄漏的缺陷，幫助從源頭解決問(wèn)題。

另一個(gè)值得關(guān)注的問(wèn)題，是企業(yè)對于信息安全方面的支出和預測不足。美國最頂尖的網(wǎng)絡(luò )安全專(zhuān)家之一Eric Cole 博士指出，隨著(zhù)網(wǎng)絡(luò )攻擊的增加，企業(yè)不斷在安全方面付出高昂成本，但確經(jīng)常把錢(qián)花在錯誤的地方。大部分與信息安全有關(guān)的支出，未被計為與信息安全有關(guān)（https://www.inc.com/joseph-steinberg/why-cybersecurity-spending-is-much-higher-than-reported.html）。不得不說(shuō)，發(fā)生此類(lèi)現象，IT 安全官有無(wú)法推卸的責任。大部分時(shí)候，這是由于 IT 安全官忽視與程序員的溝通，而只關(guān)注協(xié)議和網(wǎng)絡(luò )級別的安全問(wèn)題。

除了有相關(guān)法律法規的保障作為前提，數據安全解決方案也應滿(mǎn)足不同行業(yè)對數據安全的需求，提供全面的保障。靜態(tài)分析可以對源代碼進(jìn)行深度檢測與掃描，在軟件開(kāi)發(fā)、持續集成、持續交付的各個(gè)階段，引導安全編碼的早期介入。如此一來(lái)，可以主動(dòng)防止敏感數據泄漏，從而有效地保障個(gè)人隱私與企業(yè)經(jīng)營(yíng)的數據安全。我們很高興地看到，鑒釋來(lái)自不同領(lǐng)域的合作伙伴，都將靜態(tài)代碼掃描作為企業(yè)網(wǎng)絡(luò )安全的第一步，把對源代碼的安全視為一項重要的戰略投資。相比市面上大多數缺乏主動(dòng)防御機制的 DLP 解決方案，靜態(tài)代碼掃描的解決方案無(wú)疑可以填補這一空白。而更重要的是，數據安全不僅僅是 IT 安全官或數據隱私官的責任，也是開(kāi)發(fā)人員共同的責任。

作者簡(jiǎn)介

肖琳杰，鑒釋解決方案工程師，主要負責軟件開(kāi)發(fā)生命周期（SDLC）流程自動(dòng)化、軟件質(zhì)量管理與優(yōu)化、軟件數據安全。

關(guān)于鑒釋

鑒釋的使命是通過(guò)創(chuàng )建簡(jiǎn)單操作的工具來(lái)協(xié)助開(kāi)發(fā)人員構建并調配安全可靠的代碼。鑒釋成立于2018年，由擁有數十年開(kāi)發(fā)經(jīng)驗的世界級軟件專(zhuān)家創(chuàng )辦，并在深圳、北京、上海和香港設立了辦事處。鑒釋提高了代碼的審計、評估和缺陷檢測的速度和準確性。我們通過(guò)使用高級靜態(tài)分析技術(shù)幫助客戶(hù)降低成本，提高生產(chǎn)力，并確保其軟件開(kāi)發(fā)人員具備相應的能力以開(kāi)發(fā)更好、更可靠的軟件。

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！